Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA ACTIVIDAD DEL LOADER DARKGATE

26/02/2024

NUEVA ACTIVIDAD DEL LOADER DARKGATE
DarkGate fue visto por primera vez en el mes de junio del año 2023, en una amenaza de tipo loader que se encuentra escrita en lenguaje de programación Borland Delphi, se caracteriza por sus capacidades de acceso remoto con funcionalidades para la captura de información, proxy, rootkit entre otros.

Descripción

En el seguimiento a las amenazas conocidas, el Csirt Financiero ha observado nueva actividad del loader denominado DarkGate, en una campaña que se encuentra activa desde agosto del presente año, la cual se dirige a organizaciones del sector bancario e industrial.

Este loader se obtiene a través de la navegación de anuncios maliciosos a través de Google Ads, con temáticas alusivas a la obtención de dinero o la suplantación de algún software, como lo observado y compartido previamente por el Csirt Financiero ( ver alerta relacionada ).

Una vez se realiza la descarga del archivo, el cual es comúnmente entregado con las extensiones LNK, VBS y MSI (artefactos de tipo script), y posteriormente a la apertura (acción generada por el usuario) se inicia la cadena de infección por parte de esta amenaza.

Vector de infección

DarkGate se distribuye principalmente por medio de anuncios maliciosos a través de Google Ads, realizando la suplantación de software o aplicaciones legítimas, que previamente fueron alteradas con el objetivo de; una vez ejecutado desencadenar el proceso de infección.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios.
  • Evitar almacenar contraseñas y/o credenciales de acceso en los navegadores web, para prevenir su captura por parte de actores de amenaza. Utilizar gestores de contraseñas para guardar este tipo de información.
  • De acuerdo con la norma ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” se sugiere mantener a los usuarios conscientes de las últimas tácticas y técnicas utilizadas por los ciberdelincuentes en sus campañas.

Leer noticia: https://www.esentire.com/blog/from-darkgate-to-danabot